Fog Team: profilo di un gruppo ransomware in crescita

Il ransomware Fog è comparso nel panorama degli attacchi a fini estorsivi a maggio 2024.

Da metà luglio a dicembre ha pubblicato oltre 80 rivendicazioni, la maggior parte delle quali contro realtà statunitensi. Fra le vittime di quel periodo, un buon 25% sono stati istituti di studi superiori negli USA. Nei primi due mesi del 2025 le operazioni basate su questa minaccia si sono nettamente intensificate, impattando soprattutto l’Europa e in modo consistente ancora il settore della formazione, insieme a quelli tecnologico e della manifattura. Fra le vittime, anche alcune realtà italiane dei servizi professionali, del settore manifatturiero e accademico.

Dopo una breve fase iniziale in cui gli attacchi non prevedevano l’esfiltrazione dei dati, gli operatori di Fog hanno adottato la tattica della doppia estorsione e hanno attivato due siti TOR sui quali si svolgono le contrattazioni e, nel caso di vittime non collaborative, vengono rilasciati i leak.

Fog Team ha dimostrato una notevole abilità nel portare a termine le violazioni in tempi molto contenuti, toccando il record delle due ore dalla compromissione iniziale al completamento della cifratura. L’accesso ai sistemi target (sia Windows che Linux) avviene sfruttando credenziali VPN compromesse e vulnerabilità note, come CVE-2024-40766 di SonicWall e CVE-2024-40711 di Veeam. Nelle fasi successive, l’applicazione di tecniche avanzate come gli attacchi pass-the-hash consentono di elevare i privilegi e fare movimento laterale. I file cifrati sono contrassegnati dalle estensioni .FOG e .FLOCKED. Nelle relative cartelle viene inserito un file “readme.txt” con la nota di riscatto che fornisce le istruzioni per contattare gli attaccanti.

La minaccia sembrerebbe una variante della famiglia di ransomware STOP/DJVU, ma il gruppo che la sta utilizzando sembrerebbe avere una propria identità autonoma. Al momento non sarebbe ancora chiaro se si tratti di una crew chiusa o se operi come Ransomware-as-a-Service.

Specifiche evidenze tecniche, come punti di contatto tra le infrastrutture di attacco e lo sfruttamento dei medesimi exploit, portano ad ipotizzare contatti con Akira Team. I due avversari avrebbero adottato anche metodi di riciclaggio di denaro identici, basati sul trasferimento di fondi ad uno stesso exchange di cryptovalute.

A differenza di altri team ransomware, come ad esempio Lynx, Fog non sfoggia alcuna postura etica e sembra colpire indiscriminatamente target di diversi livelli. Fra le sue vittime più recenti continuano ad esserci numerose organizzazioni dell’alta formazione insieme a realtà le più disparate, come l’Istituto Nazionale di Geofisica e Vulcanologia (INGV) italiano, il Politecnico di Bucarest, l’accademia di coding e data science svizzera Propulsion Academy AG, l’Università dell’Oklahoma, l’ONG Central Pennsylvania Food Bank, l’americana Energy Capital Credit Union e il californiano Haggin Oaks Golf Complex.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence